Home / Resources / ISACA Journal / Issues / 2017 / Volume 4 / ISO/IEC 27001标准下一版本的建议

ISO/IEC 27001标准下一版本的建议

ISO/IEC 27001 Standard
Author: Tolga Mataracioglu, CISA, CISM, COBIT FOUNDATION, BS 25999 LA, CCNA, CEH, ISO 27001 LA, MCP, MCTS, VCP
Date Published: 16 July 2017

In this article, 简要介绍国际标准化组织(ISO)/国际电工委员会(IEC) ISO/IEC 27001:2013标准,并与ISO/IEC 27001:2005标准进行比较. ISO/IEC 27001:2013的优缺点是通过对预定参数的测量来确定的. 这些参数有助于揭示ISO/IEC 27001:2013的不足, 本文还介绍了该标准下一版本的建议.

ISO/IEC 27001标准2013版

ISO/IEC 27001包括附录SL:组织中描述的七个主要标题, leadership, planning, support, operation, performance evaluation and improvement.1 Annex SL, a high-level structure, 是ISO技术管理委员会联合技术协调小组的工作成果吗, 是一种新的管理系统格式,有助于简化新标准的创建,并使在一个组织内实现多个标准更容易.2 对于那些选择运行满足两个或多个管理体系标准要求的单一管理体系的组织来说,使用附录SL中定义的相同标题将是有用的. 尽管ISO/IEC 27001:2013没有建议计划-执行-检查-行动(PDCA)循环, 这七个标题可以映射到循环中, as shown in figure 1.3

Figure 1

ISO/IEC 27001:2013包含14个控制域,如 figure 2, and 114 controls.4

Figure 2Figure 3

2013年版标准附件A中新增的控制项见 figure 3.5

确定ISO/IEC 27001:2013标准的缺陷

ISO/IEC 27001:2005和ISO/IEC 27001:2013标准通过使用一些预定参数(如可读性)进行比较, understandability and applicability. Further, 确定ISO/IEC 27001:2013的缺陷, 哪些将作为建议的下一个标准版本的输入.

As explained previously, ISO/IEC 27001:2013在附录SL:组织范围内包括七个固定的主要标题, leadership, planning, support, operation, performance evaluation and improvement. 这种方法使当前系统与其他系统(如ISO 9001)的集成更加容易, 因为其他系统在附录SL中有相同的固定主标题. 由于ISO/IEC 27001:2005中不存在附录SL, 当使用该版本的标准时,与其他系统的集成要困难得多.

ISO/IEC 27001:2005按时间顺序列出其条款, 这意味着信息安全管理系统(ISMS)的实施者可以从第一个条款执行到最后一个条款, sequentially. In contrast, ISO/IEC 27001:2013在其条款中没有使用时间顺序, making ISMS implementers’ jobs harder. Another parameter is applicability. Both ISO/IEC 27001:2005 and ISO/IEC 27001:2013 are applicable to all types of organizations; however, 由于该标准需要大量文档,因此实施2005版对于中小型澳门赌场官方下载(sme)来说要困难得多. 当使用ISO/IEC 27001:2005时,ISMS实现者必须为一般组织创建80多个文档. On the other hand, ISO/IEC 27001:2013更适用于中小澳门赌场官方下载,因为文件工作量大大减少. 2013年标准授权ISMS实施者确定适合组织规模和复杂程度的文档数量和类型.

ISO/IEC 27001:2005的可读性是高度发达的,因为读者可以看到计划, do, check, 行为(PDCA)循环和理解ISMS的概念过程. 此外,没有必要跳到其他标准来执行该标准的条款. 相比之下,ISO/IEC 27001:2013不包括PDCA循环等初步信息. Also, ISMS实施者需要研究ISO/IEC 27001:2013中引用的其他标准,以实施其某些条款.

标准的可理解性如何? Similar to the readability parameter, 很难理解ISO/IEC 27001:2013的要求. 相反,ISO/IEC 27001:2005更容易理解,即使对于初学者也是如此. 对于初级ISMS实现者来说,理解2013版标准是相当困难的.

如前所述,在ISO/IEC 27001:2013中不存在PDCA循环. 必须有人将标准的各个部分映射到PDCA循环的各个阶段,如下所示 figure 1. Even then, 这不是一个完美的映射,因为2013年标准的一些条款不适合PDCA循环的同一阶段. On the other hand, the 2005 standard uses the PDCA cycle, 标准的条款非常适合PDCA阶段.

How about performing risk analysis? 执行风险分析在ISO/IEC 27001:2005中一步一步地解释:创建资产清单, 确定资产上的漏洞, 确定使用这些漏洞的威胁, and writing down and evaluating the risk. 这种循序渐进的方法可能很容易理解,但很难实现. In the 2013 standard, terms such as “asset,“脆弱性”或“威胁”在主条款中不存在. The standard does not deal with intermediary steps for writing down the risk; instead, it deals with business risk. 这种只关注业务风险的方法使ISMS实现者的工作更容易.

在ISO/IEC 27001:2005中,存在11个控制域和133个控制项. In ISO/IEC 27001:2013, 有14个控制域和114个控制项, 这意味着在2013年版的标准中, 即使一些旧的控制域被消除,控制域的数量也会增加. 2005年版本中的30个控件在2013年版本中不再使用,并增加了11个新控件.

当考虑重叠控件时, 可以很容易地说,在ISO/IEC 27001:2005中有许多类似的控制措施可以减轻相同的风险. 另一方面,ISO/IEC 27001:2013在处理重叠控制方面要成功得多.

ISO/IEC 27001:2005和ISO/IEC 27001:2013的比较分析总结如下 figure 4.

Figure 4

Proposal and Conclusion

本文讨论了ISO/IEC 27001:2013标准的几个不足之处,并建议在将来准备和发布新版标准时考虑这些不足之处. 作者对新版标准的建议,基于 figure 4, follow:

  1. 下一版本的标准应按顺序列出其条款.
  2. 下一个版本应该专门为中小澳门赌场官方下载和其他类型的组织定义文档工作负载.
  3. 下一个版本的可读性应该得到加强,以便容易理解ISMS的概念过程. Further, 不需要经常参考其他标准来执行标准的条款.
  4. 新版本的标准应该是可以理解的,即使是初学者级别的ISMS实现者.
  5. 新版标准应采用PDCA循环, 标准的条款应与PDCA循环的阶段相一致.
  6. 尽管ISO/IEC 27001:2013在解决重叠控制方面比2005版本成功得多, some overlapping controls still exist. 新版本的标准应该避免所有重叠的控制.

在准备和编写ISO/IEC 27001标准的下一个版本时, 相关的ISO委员会应该考虑这些建议,以便发布一个更具体的标准, 可理解和可行的版本标准.

Endnotes

1 国际标准化组织,ISO顾问浦那,“附录SL” http://isoconsultantpune.com/iso-90012015-understanding-structure-terminology-concept/annex-sl/
2 国家标准化组织, ISO 22000 Resource Center, ISO 9001:2015 DIS版本-什么是附录SL平台?,” 23 March 2015, http://iso22000resourcecenter.blogspot.com.tr/2015/03/iso-90012015-dis-version-what-is-annex.html
3 Calik, O.; “ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardındaki Değişiklikler ve Yenilikler,“Ulusal Bilgi Güvenliği Kapısı Hakkında, 12 May 2013
4 Richard, R.; “The New ISMS, ISO/IEC 27001:2013 Expert Insight,” IT World Canada Blog, 5 September 2013, www.itworldcanada.com/blog/the -新-主义isoiec insight/84379——270012013——专家
5 BSI Group, ISO/IEC 27001:2005和ISO/IEC 27001:2013要求之间的映射, http://www.bsigroup.com/Documents/iso-27001/resources/BSI-ISO27001-mapping-guide-UK-EN.pdf

Tolga Mataracioglu, CISA, CISM, COBIT Foundation, BS 25999 LA, CCNA, CEH, ISO 27001 LA, MCP, MCTS, VCP
是土耳其TUBITAK BILGEM网络安全研究所的首席研究员和部门经理. 他在国内和国际上发表了许多关于信息安全的论文. His areas of specialization are system design and security; operating systems security; governance, risk and compliance; information security management systems; business continuity; critical infrastructures; COBIT; and social engineering.